Siber güvenlik liderleri, özellikle bütçeler sıkıldığında yatırımlarını haklı çıkarmak için artan baskı altında. Auscert 2025, Jason HA’daki öğreticisinin önünde,
.jpg&h=420&w=748&c=0&s=0)
Ethan’ın Ciso ve Siber Güvenlik Risk Uzmanı, Itnews Kuruluşların siber riski bildirme ve iletme şeklini kökten geliştirme zamanı geldi.
Ha, “Çoğu kuruluş, devam eden siber saldırıların zemininde bile daha fazla para almıyor” diyor. “Yani, ‘Zaten harcadığımız şeyin geri dönüşü nedir?’ Diye soruyorlar. Bu, daha etkili, izlenebilir ve veri odaklı siber risk raporlaması için itme konusunda önemli bir itici güç. ”
Auscert’in teması doğrultusunda Gelişin ve gelişinHA, geleneksel “en iyi riskler” PowerPoint slaytının ötesine geçen ve ölçülebilir, savunulabilir karar almaya giden daha yapılandırılmış bir risk yaklaşımını savunuyor.
“Siber riski bir dart tahtından bir formüle dönüştürmekten bahsediyoruz” diyor. “Bağırsak hissinden veya satıcı hype’dan gerçek sonuçlara geçmek istiyorsak, bu değişim çok önemlidir.”
İzlenebilirlik ve şeffaflık
HA, modern risk iletişiminin belirli siber yatırımları doğrudan risk azaltma hedeflerine bağlaması gerektiğini vurgulamaktadır.
“Daha spesifik olmanız gerektiğini söylüyoruz” diye açıklıyor. “Bu, şöyle demekle ilgili: ‘İşte ilk 10 riskimiz, ilk üçünü azaltmak istiyoruz ve bunlar bunu yapmak için yaptığımız yatırımlar. Zamanla X Dolar ile riskte bir azalma görmeyi bekliyoruz.’ ‘
Bu netlik ve izlenebilirlik seviyesinin, tipik olarak siber tek, amorf bir “yüksek riskli” kategoriye giren eski okul toplanmış raporlama modellerinde mümkün olmadığını savunuyor. “Bu yapı artık işe yaramıyor” diyor.
Daha da önemlisi, ‘izlenebilirlik’, bir organizasyonun farklı katmanları arasında kritik bir bağlantı olarak hizmet eder – yönetim kurulu ve yönetici operasyonlara kadar. “Çoğu zaman, bu katmanlar uyumlu değildir” diyor. “Yönetim kurulu düzeyinde, ‘siber risk yüksek’ olduğunu duyabilirsiniz, operasyonel olarak, net bir bağlantı olmadan bir düzine faaliyet devam ediyor.”
“Nadir olan – ama inanılmaz derecede güçlü olan – üç katmandan da geçme ve açıklama yeteneğidir: İşte bu yüzden risk görüyoruz, bu konuda ne yaptığımızı, hangi sonuçları izliyoruz. Bu izlenebilirlik modeli akışı yukarı ve aşağı raporlamanıza izin verir – yani bir yönetim kurulu üyesi ‘Bu ne harcadı?’ Vaat edildiği gibi riski azalttığını kanıtlayan operasyonel metriklere işaret edebilirsiniz. ”
Olgunluk boşluğu
Öyleyse neden daha fazla kuruluş bu yaklaşımı benimsemiyor? HA’ya göre, olgunluğa geliyor.
“Risk yönetimi genellikle yıllardır aynı şekilde yapıldı ve değişime karşı direnç var” diyor. “Ama siber riskler farklı. Rakipler. Dinamik olarak değişiyorlar çünkü diğer tarafta aktif olarak içeri girmeye çalışan biri var. Bu, likidite riski veya doğal afetlerle elde ettiğiniz bir şey değil.”
Bu karmaşıklık, geleneksel kurumsal risk çerçevelerinin sağladığından daha mekanik, yapılandırılmış bir analiz gerektirir. “Ek bir metodolojiye ihtiyacınız var,” diye açıklıyor Ha. “Siber tehditlerin daha ayrıntılı, neden-etki tarzı bir bozulması yapmanızı ve bunu daha geniş risk modeline beslemenizi sağlayan bir şey.”
Beceriler ve Sadelik
Siber risk niceliği için akademik modeller, nicelemenin istatistiksel mekaniğini anlamak için yararlı olsa da, HA en önemli şeyin bunları pratikte nasıl uyguladığınız olduğunu söylüyor.
“Monte Carlo simülasyonları ve benzerleri, günlük iş liderleri için analizin anlaşılmasını kolaylaştıramazsanız pek bir şey ifade etmiyor” diyor. “Sadece onları kaybedeceksiniz. Gerçekten ihtiyacınız olan şey yapılandırılmış düşünce ve şeffaf, basitleştirilmiş bir yaklaşım.”
HA’nın görüşüne göre, anahtar gelişebilirliği erişilebilirlikle dengelemektir: “Ses, ancak yine de anlaşılabilir risk niceliği yapmanın bir yolu var.”
Ve eleştirel olarak, bu her şeyi ilk kez doğru yapmakla ilgili değil. “Bir yerden başlayın. Bir temel oluşturun,” diyor. “İnsanlar sayıların doğru olup olmadığını sorgulayacaklar ve ben her zaman diyorum: Risk matrisindeki bir renkten daha doğru.”
“10 milyon ila 15 milyon dolar arasında değerlenen bir risk, riskin ‘yüksek’ olduğunu söylemekten daha iyi bir başlangıç noktasıdır. Bu taban çizgisine sahip olduğunuzda, onu rafine edebilir, daha iyi verileri toplayabilir ve modelinizi zamanla geliştirebilirsiniz.”
Ancak nicelemeye başlamadan önce Ha, önemli bir öncü olduğunu söylüyor: daha iyi risk ifadeleri yazmak.
“Çoğu zaman, riskler başlamak için doğru şekilde yapılandırılmıyor” diyor. “Denklem eksikse bir denklemi çözemezsiniz. Bu yüzden ilk adım risk tanımlarınızı doğru hale getirmektir.”
İletişim boşluğunu köprüleme
HA için etkili siber risk raporlaması da işletme genelinde iletişimi geliştirmekle ilgilidir.
“Siber takımlar ve iş arasında sıklıkla bir uçurum var” diyor. “Ancak bu izlenebilirlik kavramı katmanlar arasındaki temel bağlantıdır. Operasyonel etkinliği stratejik risk önceliklerine ve yönetim kurulu düzeyinde kaygılara açıkça bağlayabiliyorsanız, tek tip bir görüşün kilidini açarsınız.”
Örneğin, “Bu yeteneği dağıtıyoruz çünkü en büyük risklerimizden birini ölçülebilir bir miktar azaltır.” Diyebilmekle ilgilidir. Bu ortak konu, yönetim kurulu üyelerinin, yöneticilerin ve teknik ekiplerin aynı dili konuşmalarına ve seçilen siber yatırımların değerini anlamalarına izin verir.
Destekleyici bir yapı olarak çerçeveler
NIST CSF veya ISO 27001 gibi kontrol çerçeveleri yararlı olsa da, HA ana oyun olmadıklarına inanıyor – bir amaç değil, bir amaç değil.
“Kontroller kontrollerdir” diyor. “İster NIST, ISO, Essential Sekiz kullanıyor olun-bunlar sadece yeteneğe bakmanın farklı yollarıdır. Hepsi bir risk değiştirme modeline entegre olabilir.”
Yine de, en son NIST Siber Güvenlik Framework 2.0’da önemli bir evrimi not ediyor. “Özellikle bu risk yönetimi alanıyla başa çıkmak için yönetişim etrafında yepyeni bir sütun getirdiler” dedi. “Önce bir risk lensi aracılığıyla karar vermeniz ve daha sonra yeteneklerinizi seçmeniz gerektiğinin farkındadır – tam tersi değil.”
Sohbeti yeniden tanımlamak
Nihayetinde Ha, etkili siber risk raporlamasının iş içinde yeni bir şeffaflık seviyesi yaratmakla ilgili olduğuna inanmaktadır.
“Masaya varsayımlar koyuyorsunuz. İlgili paydaşları getiriyorsunuz ve bulgularınızı desteklemek için endüstri verilerini kullanıyorsunuz” diyor. “Bir odada oturmaktan ve birisinin ‘Evet, oldukça muhtemel görünüyor. Etki? Oldukça yüksek.’
Artan tehditler ve finansal inceleme ile birlikte, siber risk iletişimini evrim için kritik bir alan olarak görüyor.
Kendini savunmadan kara kuşak
Öyleyse, izleyicilerin Auscert konuşmasından ne almasını umuyor?
“Bunun kendini savunma gibi olduğunu söylüyoruz” diye açıklıyor. “Kara kuşak almak zaman ve disiplin alır – ama birkaç temel hamle öğrenmek için sokakta dövülmezsiniz? Bu kadar zor değil. İnsanların başlamasını istiyoruz.”
Konuşması beş temel adımın ana hatlarını çiziyor:
- Riski Kapsam – Nerede Olun ve Etki Verilerinin Alınmasını Anlayın. Ha, “İş paydaşları etkiyi genellikle siber takımlardan daha iyi anlıyor” diyor.
- İşletme Sahipleri – “İronik, ancak iş süreçlerine sahip olan insanlar genellikle riske sahip olanlardır. Bunu kullanın.”
- Kontrolleri ve izlenebilirliği tanımlayın – Riski belirli kontrollere ve yeteneklere bağlayın, böylece etkiyi ölçebilirsiniz.
- Katmanlar arasında iletişim kurun – Denetim ve risk komiteleri de dahil olmak üzere Kurul, Yönetici ve Operasyonel Kitleler için risk iletişimi uyarlayın.
- Basit başlayın – sahip olduklarınızla başlayın ve zamanla olgunluk oluşturun.
Ha, “Bu, siber risk hakkında nasıl konuştuğumuzu modernleştirmenin anı” diyor. “Sadece uyum veya yönetim kurulu raporları için değil, daha iyi, daha hızlı ve daha savunulabilir kararlar için.”